Instruktion för byte av deltagaridentitet

Vägledningen beskriver processen steg för steg och tydliggör vad ni ansvarar för samt vad Digg ansvarar för i rollen som federationsägare.

1. Förberedelser

Inför ett planerat byte av deltagaridentitet inom SDK behöver ni ta kontakt med oss på Digg.

Ni behöver också föra en dialog med er accesspunktsoperatör (intern eller extern). Accesspunktsoperatören behöver lägga upp er organisation med den deltagaridentitet ni avser byta till i SMP i aktuell miljö.

2. Inför byte av deltagaridentitet

För att genomföra byte av deltagaridentitet börjar ni med att ta kontakt med oss på Digg. Enklast är att skicka ett mejl till sdk@digg.se.

Ni kan anmäla bytet på ett av två följande sätt:

Alternativ 1: Anmälan via e-post

Er ansvariga kontaktperson gentemot Digg rörande er anslutning i aktuell miljö kan per e-post inkomma med ändringsanmälan. Kontaktpersonen behöver i mejlet ange den deltagaridentitet ni avser byta till, vilken miljö bytet avser (SDK-QA eller SDK prod) samt vem hos er som ska ges rollen användaradministratör i SDK adressbok. För användaradministratören behöver ni ange följande uppgifter:

• För- och efternamn
• E-postadress
• Inloggningsmetod
  På följande sida hittar ni information om vilka e-legitimationslösningar Digg stödjer för inloggning - Beslutade e-legitimationer för åtkomst till SDK:s gemensamma komponenter Länk till annan webbplats.
• Identitetsattribut för inloggning. Med identitetsattribut menas det attribut som används utifrån angiven inloggningsmetod.
  • För inloggning med BankID/Freja+ anges administratörens personnummer.
  • För inloggning med SITHS anges administratörens HSA-ID.
  • För inloggning med Freja OrgID anges administratörens identitetsattribut som er organisation valt för Freja OrgID.
  • För inloggning med EFOS anges administratörens EFOS-ID.

Alternativ 2: Anmälan via blankett

Om ansvarig kontaktperson inte har möjlighet att anmäla byte per e-post kontaktar ni oss på sdk@digg.se, varpå vi skickar en blankett. Ni fyller i motsvarande uppgifter som ovan och skickar in till oss.

Anmälan ska undertecknas av behörig(a) företrädare hos er. Underskrift kan göras antingen digitalt eller analogt. Mer information om hur underskrift går till finns i blanketten.

När vi på Digg tagit emot anmälan genomför vi en granskning och kontrollerar uppgifterna. Om allt är korrekt återkommer vi med bekräftelse till er per e-post.

Det vi kontrollerar vid granskning är om den deltagaridentitet ni avser byta till är godkänd enligt gällande regler och krav inom SDK regelverk, att er accesspunktsoperatör lagt upp er organisation med den nya deltagaridentiteten i SMP i miljön samt att uppgifterna för er användaradministratör är kompletta och korrekta.

3. Genomförande av byte av deltagaridentitet

Inför byte av er deltagaridentitet kommer vi på Digg att lägga upp er organisation med den nya deltagaridentiteten i SDK adressbok i aktuell miljö. Vi lägger också upp er användaradministratör.

Användaradministratörens roll är att tilldela de roller som finns tillgängliga för SDK adressbok internt i er organisation - organisationsadministratör, adressadministratör och ytterligare användaradministratörer vid behov. Det är också användaradministratören som tilldelar rollen testklientanvändare i SDK-QA-miljö.

3.1 Viktigt att tänka på

Det är viktigt att ni informerar de deltagarorganisationer ni utbyter meddelanden med via SDK. Eftersom er deltagaridentitet ingår i era funktionsadresser behöver berörda organisationer ta del av den nya deltagaridentiteten för att kommunikationen ska fungera korrekt efter bytet.

Observera också att det är ni själva som ansvarar för ev. funktionsadresser som finns registrerade för er organisation i SDK adressbok. När vi på Digg lägger upp er organisation med er nya deltagaridentitet följer inte befintliga funktionsadresser med per autmatik. Ni kan välja mellan följande alternativ för att hantera funktionsadresserna:

• använda adressbokens export- och importfunktion, det vill säga exportera funktionsadresser som är registrerade för er organisation med den befintliga deltagaridentiteten, göra nödvändiga ändringar och därefter importera dom så att de registreras för den nya deltagaridentiteten, eller
• registrera funktionsadresserna manuellt på nytt.

Inför att ev. funktionsadresser importeras eller registreras behöver ni informera de deltagarorganisationer ni utbyter meddelanden med, så att de vet när de nya adresserna kan börja användas.

Ni kan även förtydliga detta genom att ange aktiveringsdatum för respektive adress i adressbokens användargränssnitt.

För handledning i hur ni exporterar och importerar funktionsadresser, se avsnitt 8 Import och export av funktionsadresser i Handled Länk till annan webbplats.ning för administratörer i SDK adressbok Länk till annan webbplats.

För handledning i hur ni anger ett aktiveringsdatum för manuellt registrerade funktionsadresser, se avsnitt 6 Skapa en ny funktionsadress i Handledning för administratörer i SDK adressbok Länk till annan webbplats.

När vi på Digg lagt upp er organisation och användaradministratör i adressboken, kommer vi tillsammans med er överens om tidpunkt för genomförandet. Vid överenskommen tidpunkt kommer vi på Digg att avpublicera er befintliga deltagaridentitet i SMP och godkänner och publicerar samtidigt er nya deltagaridentitet.

3.2 Hantering av ert O2O-certifikat

Inför byte av deltagaridentitet rekommenderar vi att ni ser över ert O2O-certifikat i aktuell miljö. Om giltighetstiden för certifikatet är nära att löpa ut uppmanas ni att förnya det i samband med byte av deltagaridentiteten.

Så gör ni för att förnya ert O2O-certifikat

Om ni önskar förnya ert certifikat behöver ni inför byte av deltagaridentitet införskaffa ett nytt O2O-certifikat och lämna den publika delen till oss på Digg.

Vi på Digg publicerar den publika delen av certifikatet i Certifikatspubliceringstjänsten i SMP. Samtidigt installerar ni den privata nyckeln i er meddelandetjänst. Detta genomför vi tillsammans med er som en del av samma hantering som själva bytet av er deltagaridentitet.

3.3 Lämna publikt certifikat till Digg

För att garantera riktighet lämnar ni den publika delen av O2O-certifikatet via SDK adressbok till oss på Digg. Det är i rollen organisationsadministratör man har behörighet att göra detta, en roll som kan innehas av en eller flera personer i er organisation.

Så lämnar ni certifikatet via SDK adressbok – steg för steg

• Du som organisationsadministratör loggar in i SDK adressbok.
• Gå till ”Mina organisationer” i vänstermenyn.
• Om du har rollen organisationsadministratör för fler än en organisation kommer samtliga listas i följande vy. Välj den organisation du avser lämna publikt certifikat för och välj sedan ”Redigera”.
• Scrolla längst ned på sidan till rubriken ”Deltagarorganisationens publika O2O-certifikat”.
• Lägg in ert publika certifikat i fälten ”Krypteringscertifikat” och ”Signeringscertifikat”.

3.3.1 Krypterings- och signeringscertifikat

Enligt SDK regelverk ska ni som deltagarorganisation använda samma certifikat för kryptering och signering av meddelanden inom SDK. Det är därför du som organisationsadministratör behöver lägga in certifikatet i båda fälten – ”Krypteringscertifikat” och ”Signeringscertifikat”.

3.3.2 Varför två fält om samma certifikat ska användas för kryptering och signering?

SDK adressbok är utformad för att fungera långsiktigt och kunna bemöta framtida förändringar som ställer krav på dess funktionalitet. Ett sådant krav skulle exempelvis kunna vara att Digg i rollen som federationsägare inför en ändring i regelverket som skulle betyda att ni som deltagarorganisation ges möjlighet att använda olika certifikat för kryptering och signering av SDK-meddelanden. Om sådan ändring införs behöver ni kunna lämna båda dessa certifikat till oss, och samtidigt informera vilket certifikat ni vill nyttja för kryptering respektive signering. Det är av denna anledning som adressboken har separata fält för kryptering och signering, även om nuvarande regelverk reglerar att samma certifikat ska användas för båda ändamål.

4. Efter genomfört byte

Efter genomfört byte tar Digg bort er tidigare deltagaridentitet från SDK adressbok enligt överenskommelse med er.

Ni ansvarar för att kontakta er accesspunktsoperatör och säkerställa att den gamla deltagaridentiteten tas bort från SMP.